117笔记问答在 PHP 中,防御 CSRF(跨站请求伪造)攻击的主要方法包括以下几种:
- 使用 CSRF Token:为每个表单生成一个随机的 CSRF Token,并将其存储在用户的会话中。当用户提交表单时,需要同时提交这个 Token,然后在服务器端进行验证。如果 Token 不匹配或者不存在,则拒绝请求。
// 生成 CSRF Token session_start(); $csrf_token = bin2hex(random_bytes(32)); $_SESSION['csrf_token'] = $csrf_token; // 在表单中添加隐藏字段 echo ''; // 验证 CSRF Token if (isset($_POST['csrf_token']) && $_POST['csrf_token'] === $_SESSION['csrf_token']) { // 处理表单数据 } else { // 阻止请求 echo "Invalid CSRF Token!"; }
- 验证 Referer 头部:检查 HTTP 请求的 Referer 头部,确保请求是从可信任的源发起的。这种方法有一定的局限性,因为 Referer 头部可以被伪造或遗漏。
$allowed_origins = ['https://example.com', 'https://subdomain.example.com'];
$referer = isset($_SERVER['HTTP_REFERER']) ? parse_url($_SERVER['HTTP_REFERER'], PHP_URL_HOST) : '';
if (in_array($referer, $allowed_origins)) {
// 处理请求
} else {
// 阻止请求
echo "Invalid referer!";
}
- 使用 SameSite Cookies 属性:通过设置 Cookie 的 SameSite 属性为 Strict 或 Lax,可以防止浏览器在跨站点请求时发送 Cookie。这样,当用户访问第三方网站时,攻击者无法利用用户的 Cookie 发起 CSRF 攻击。
setcookie('name', 'value', [
'expires' => time() + 60 * 60 * 24 * 30,
'path' => '/',
'domain' => 'example.com',
'secure' => true,
'httponly' => true,
'samesite' => 'Strict', // 或 'Lax'
]);
- 用户交互确认:对于一些敏感操作,如转账、修改密码或删除账户等,可以通过增加用户交互步骤(如确认弹窗、输入验证码或者二次认证来进行操作确认)降低 CSRF 攻击的风险。
结合以上方法,可以有效地防御 CSRF 攻击。但请注意,没有绝对安全的系统,始终保持警惕和更新防御措施是非常重要的。